Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
CodeRed volvió y seguimos vivos... pero...
|
|
VSantivirus No. 390 - Año 5 - Jueves 2 de agosto de 2001
CodeRed volvió y seguimos vivos... pero...
Por José Luis
López
Con cierto atraso a la cita (o tal vez porque lo esperábamos apenas sonaran las primeras campanadas de la medianoche, debido a la sobredimensionada expectativa promulgada desde algunos medios) CodeRed ha comenzado ya a aparecer en las numerosas computadoras que pueden ser vulnerables a su ataque.
Según diferentes sitios que monitorean e informan en tiempo real la actividad del gusano, al comienzo del día existían un poco más de 100 computadoras ejecutando la fase de propagación.
Algo más de 10 horas después, esta cantidad ha aumentado a cerca de 10,000.
Recordemos que el gusano desarrolla tres fases. Propagación, ataque de negación de servicio, y finalmente su etapa de sueño, donde queda en un bucle infinito. Del 1 al 19 de agosto, debería producirse la etapa de propagación, que es la que más preocupa por el momento a la mayoría de los expertos (la fecha depende de la que posea el reloj del sistema de la computadora infectada).
Aunque algunos especulaban conque luego de la tercer etapa (ya ocurrida), no podría volver a ejecutarse la primera, otros explican que siempre existe la posibilidad de que la infección vuelva a producirse. Esta última teoría por lo visto, parece ser la más acertada.
El mes pasado, la primer etapa ocasionó la infección de más de 300,000 sistemas (esta cifra fue manejada por quienes aseguran llevar estadísticas reales, aunque podría ser algo menor para otros). Sin embargo, el gusano fue detectado a mediados del mes, por lo que el periodo de infección fue menor.
Esta vez, el periodo de propagación es más amplio. Y si la infección sigue el ritmo exponencial actual, se especula conque la cantidad vista antes, podría ser ampliamente superada.
Lo cierto es que con las primeras horas del jueves (para América), ya se comenzaron a recibir noticias de dificultades ocasionadas por la gran cantidad de escaneos (unos 100 a la vez por computadora), realizados en cada uno de estos servidores y computadoras atacadas, lo que genera una gran cantidad de tráfico.
El propio Pentágono norteamericano anunció a través de un portavoz (en las últimas horas del miércoles), que ya se empezaron a notar "ciertas dificultades en el tráfico de la red de nuestras computadoras, aunque estas no ameritan una mayor preocupación por el momento".
Al comienzo del día de ayer, se habían planteado varias acusaciones hacia organismos como el FBI, por un lado por haber exagerado su alerta (para algunos expertos esta alarma era un clásico "hype", o sea una exageración). Y por otro lado, por no haber aclarado con mayor precisión, a quienes afectaba exactamente la infección del CodeRed.
Por ejemplo, para el experto en mitos y exageraciones sobre virus, Rob Rosenberger, la acción del FBI solo ha sido "un ataque publicitario". Rosenberger llegó incluso a calificar la acción del gobierno estadounidense de sensacionalista, hasta tal punto, según él, que mucha gente que no estaba en peligro ha actualizado los parches en sus equipos.
Otros expertos, como Graham Cluley, de Sophos, coinciden en que las advertencias del FBI deberían haber sido más claras respecto a que este gusano no infecta a los usuarios hogareños que no usen el IIS. Y agrega que la exageración de la advertencia, y el ver que Internet sigue funcionando a pesar de todo, podría hacer que muchos usuarios lleguen a prestar menos atención a futuras alertas, las que si podrían afectarlos directamente.
La mayoría de las consultas que nosotros mismos hemos recibido durante el miércoles, fueron de usuarios que no utilizan en sus computadoras el servidor IIS de Microsoft (Internet Information Server), y que además, ni siquiera tienen Windows NT o 2000 como sistema operativo.
Por ello (aunque en nuestros artículos anteriores lo explicábamos), creemos conveniente aclarar este punto, para aquellos que aun tienen ciertas dudas.
Para empezar, si usted no tiene Windows NT o 2000 como sistema operativo, no puede ser infectado. Por lo tanto, nada podrá hacer para luchar contra el gusano, el cuál solo lo afectará indirectamente, al hacer su navegación a ciertos sitios más dificultosa.
Aunque algunas instalaciones de Windows 98 contienen lo que Microsoft denomina Personal Web Server (Servidor Web Personal), que se activa, entre otras opciones, por ejemplo al instalarse el FrontPage, su presencia no representa peligro alguno para el usuario, puesto que el PWS no es afectado por el gusano.
Si en cambio, su sistema operativo es Windows NT o 2000, tal vez si pueda tener instalado el IIS (aunque no lo utilice para dar acceso a terceros desde Internet).
Y si además usted tiene una conexión dedicada de 24 horas a Internet, aún cuando no posea una dirección IP fija, podría tener muchas más posibilidades de generar la infección. O sea, ser infectado, e infectar desde su PC a otras computadoras.
Si posee Windows 2000 o NT, y desea saber si tiene instalado el servidor IIS, verifique desde el Panel de control, Agregar o quitar programas, en la pestaña Instalación de Windows o Componentes de Windows, y busque el componente "Internet Information Server (IIS)". Si la opción está tildada, desmárquela para quitar IIS de su sistema (si no lo utiliza, claro).
Si lo utiliza, descargue e instale los parches que mencionamos al final de este artículo.
En el caso que su servidor estuviera infectado, deberá reiniciar el sistema para eliminar el gusano (se instala únicamente en la memoria), y luego instalar los parches necesarios, para no volverse a infectar.
Como vimos, el efecto más evidente de la acción del CodeRed para los usuarios hogareños que no cumplan las condiciones vistas para ser infectados, será la de padecer alteraciones en el rendimiento del acceso a la red en los siguientes días.
Por otra parte, quienes tengan Windows NT o 2000, es imprescindible que deshabiliten el IIS como vimos antes, o que instalen el parche (usen o no el servidor como tal), ya que pueden ser infectados (aún cuando el peligro sea menor si su PC no está conectado las 24 horas a Internet).
Recordemos que CodeRed es un gusano de Internet que se propaga a través de servidores IIS susceptibles a una vulnerabilidad en uno de sus componentes.
Según informa Microsoft, se han llevado a cabo hasta la fecha, más de tres millones de descargas del parche que evita la acción de este gusano.
A pesar de ello, los informes de computadoras afectadas por la nueva primera etapa de la infección, va en aumento, tal como mucho preveían.
Parches disponibles:
Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
Windows 2000 Professional, Server y Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
Más información:
Unchecked Buffer in Index Server ISAPI Extension
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
Ver también:
VSantivirus No. 387 - 30/jul/01
Internet al borde del colapso por culpa de un virus
VSantivirus No. 380 - 23/jul/01
CodeRed se transforma y se hace más peligroso
VSantivirus No. 377 - 20/jul/01
CodeRed. Un gusano en la memoria de los servidores
VSantivirus No. 348 - 21/jun/01
Vulnerabilidad en las extensiones ISAPI en IIS (MS01-033)
(c) Video Soft - http://www.videosoft.net.uy
|
|
|